通过 GPO 限制用户在其桌面、我的文档、我的音乐、我的视频、我的图片等上保存内容

通过 GPO 限制用户在其桌面、我的文档、我的音乐、我的视频、我的图片等上保存内容

我想要完成以下任务:用户不得具有在其桌面、我的文档、我的音乐、我的视频、我的图片等上保存内容的权限。

我已经通过 GPO 阻止并隐藏了所有驱动器。但是,用户仍然可以在上面列出的位置存储文件。

服务器操作系统:Windows Server 2008 R2

客户端操作系统:Windows XP、Windows Vista 和 Windows 7

答案1

如果您使用的是 Windows Server 2008,那么这非常简单。

  1. 创建组策略对象,转到Computer Configuration> Policy> Windows Settings> Security Settings>File System
  2. 右键单击并添加%userprofile%\Desktop....等等,以添加您想要限制访问的不同文件夹。
  3. 为用户或用户组指定指定文件夹的权限。

答案2

使用登录脚本可以实现这一点,但有点棘手,需要进行测试以确保它在目标环境中正常工作。它对 ACL(系统、管理员和用户)中的 ACE 条目做出假设,并且假设用户是所有者(通常都是所有者)。它不是万无一失的安全性,但它可以帮助最大限度地减少随意的“将 2 GB 的 iso 文件保存到漫游配置文件桌面文件夹”的情况。

概括地说,当用户登录时,在最后一个登录脚本的末尾,ACL 他们的桌面和其他位置,以便他们具有读取和执行权限。

在 logOFF 脚本中,将权限恢复正常。

在登录脚本开始时,还应该进行检查,以便在注销脚本失败的情况下将权限重置为正常。

有多种 ACL 工具可供使用:icacls、fileacl、setacl。

可以使用以下 PowerShell 语法确定正确的路径:

[Environment]::GetFolderPath("DesktopDirectory")  

应该使用它来确保操作在重定向位置而不是本地位置执行。

要获取所有环境特殊文件夹位置的列表:

[Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])  

通常会返回:

桌面
程序
个人
MyDocuments
收藏
夹启动
最近
发送到
开始菜单
我的音乐
桌面目录
我的电脑
模板
应用程序数据
本地应用程序数据
InternetCache
Cookies
历史记录
CommonApplicationData
系统
程序
文件我的图片
CommonProgramFiles

请注意,有 Desktop 和 DesktopDirectory 特殊文件夹。

下面是使用 FileAcl 将用户的桌面文件夹设置为读取和执行的 PowerShell 命令示例:

$user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%\%USERNAME%")
$exe = "C:\util\FileAcl\FileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "`"NT AUTHORITY\SYSTEM`":F"
$arg4 = "/S"
$arg5 = "`"" + $user + "`"" + ":RX"
$arg6 = "/S"
$arg7 = "`"BUILTIN\Administrators`":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)


&$exe $allArgs  

要将文件夹设置为用户的修改权限,arg5 将是:

$arg5 =“ "" + $user + "“” + “:RWXD”

答案3

这里有一个无需修改权限的解决方案。

SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag

ThisPCPolicy

REG_SZ

Hide

这将隐藏另存为选项的桌面。

可以使用 GPO 部署此配置。

来源:

http://www.sysadmit.com/2018/03/gpo-impedir-guardar-en-el-escritorio.html

对于其余文件夹,其内容如下:

文件:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {f42ee2d3-909f-4907-8871-4c22fc0bf756} \ PropertyBag

图片:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {0ddd015d-b06c-45d5-8c4c-f59713854639} \ PropertyBag

视频:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {35286a68-3c57-41a1-bbb1-0eae73d76c95} \ PropertyBag

下载:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {7d83ee9b-2244-4e70-b1f5-5393042af1e4} \ PropertyBag

音乐文件夹:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {a0c69a99-21c8-4671-8703-7934162fcf1d} \ PropertyBag

桌面文件夹:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag

相关内容